嘿，这个需求太常见了——毕竟.env里都是敏感配置，绝对不能发布到npm仓库里。npm本身就提供了几种简单可靠的方式来解决这个问题，下面给你详细说两种最常用的：

方法一：使用.npmignore文件 #

这个文件的作用和.gitignore类似，专门用来告诉npm哪些文件/目录不需要发布。

• 在你的项目根目录创建一个名为.npmignore的文件
• 在里面直接写入你要排除的文件名，比如：

  .env
  # 还可以加其他你不想发布的内容，比如测试文件、日志等
  test/
  *.log
  

注意：如果你的项目同时有.gitignore和.npmignore，npm会优先使用.npmignore的规则，而忽略.gitignore。所以如果.gitignore里已经排除了.env，但你想确保万无一失，直接在.npmignore里再写一遍就行。

方法二：使用package.json的files字段 #

这是一种「白名单」思路——你明确指定哪些文件/目录需要被发布，不在列表里的都会被排除。

• 打开你的package.json，添加一个files数组，把所有需要发布的文件列进去，比如：

  {
    "name": "your-private-package",
    "version": "1.0.0",
    "files": [
      "dist/",
      "index.js",
      "README.md",
      "package.json"
    ]
  }
  

这样一来，像.env这种没被列进去的文件，就不会被包含在发布的包里面了。这种方式的好处是更可控，能明确知道哪些内容会被发布，避免误传不必要的文件。

额外小提示 #

发布前可以先用npm pack命令测试一下——这个命令会生成一个和实际发布包一样的.tgz压缩包，你可以解压看看里面的内容，确认.env确实没被包含进去，再执行npm publish就放心啦！

内容的提问来源于stack exchange，提问作者Dave